在SSL labs中,我知道我正在使用这个“弱密码”:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
现在在 Apache 中,这是我启用的一组套件:
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
在上面的列表中,我尝试添加!ECDHE-RSA-AES256-CBC-SHA384
,但这没有帮助。我也尝试添加!CBC
,但这也不能解决 SSL Labs 中的问题。我应该怎么做才能禁用这个密码?
我在 Debian Buster 上。我使用的 Apache 版本是2.4.38-3+deb10u3
. 一切都是最新的。
您尝试删除的密码套件
ECDHE-RSA-AES256-SHA384
由openssl调用。每当您的密码列表中
AES256
没有出现 时GCM
,这意味着服务器将在密码块链接模式下使用 AES。该密码绝不是损坏或弱的(尤其是与您列表中的 SHA-2 变体等良好的散列函数一起使用时)。与伽罗瓦计数器模式相比,它不那么推荐。在手动选择密码之前,您应该阅读Mozilla 的服务器端 TLS 页面以做出明智的选择。例如,Debian 8 才 4 岁,它没有openssl 1.1 版。
根据需要编辑密码套件列表后,您可以使用以下方法测试结果: